ip協議 tp服務器 tcp/ip協議 deny 管理 通信 rpc 文本 控制

訪問控制列表（一）
TCP/IP協議族的傳輸層協議主要有兩個：
（1）TCP傳輸控制協議
（2）UDP用戶數據報協議

TCP是面向連接的、可靠的進程到進程通信的協議
TCP提供全雙工服務，即數據可在同一時間雙向傳輸

TCP報文段：將若幹個字節構成一個分組
TCP報文段封裝在IP數據報中

TCP建立連接的過程稱為三次握手
1.Pc1發送SYN報文（Seq=x，SYN=1）
2.Pc2發送STN+ACK報文（Seq=y，Ack=x+1，SYN=1，ACK＝1）
3.Pc1發送ACK報文（Seq=x+1，Ack=y+1，ACK=1）
TCP斷開連接的四次握手
1.Pc1發送FIN/ACK（FIN=1，ACK=1）
2.Pc2發送ACK報文（ACK＝1）

3.Pc2發送FIN/ACK報文（FIN=1，ACK=1）
4.Pc1發送ACK報文（ACK＝1）

常用的TCP端口號及其功能
21 FTP FTP服務器所開放的控制端口
23 TELNET 用於遠程登錄，可以遠程控制管理目標計算機
25 SMTP 服務器開放的端口，用於發送郵件
80 HTTP 超文本傳輸協議
110 POP3 用於郵件的接收

UDP協議的特點：
（1）無連接、不可靠的傳輸協議
（2）花費的開銷小

常用的UDP端口號及其功能
69 TFTP 簡單文件傳輸協議
111 RPC 遠程過程調用
123 NTP 網絡時間協議

訪問控制列表（ACL）讀取第三層、第四層包頭信息，根據預先定義好的規則對包進行過濾

訪問控制列表在接口應用的方向：
（1）出：已經過路由器的處理，正離開路由器接口的數據包
（2）入：已到達路由器接口的數據包，將被路由器處理

標準訪問控制列表
基於源IP地址過濾數據包
標準訪問控制列表的訪問控制列表號是1～99
擴展訪問控制列表
基於源IP地址、目的IP地址、指定協議、端口和標誌來過濾數據包
擴展訪問控制列表的訪問控制列表號是100～199
命名訪問控制列表
命名訪問控制列表允許在標準和擴展訪問控制列表中使用名稱代替表號

標準訪問控制列表的配置基本命令：
創建ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]

Permit：允許數據包通過
Deny：拒絕數據包通過
刪除ACL
Router(config)# no access-list access-list-number
將ACL應用於接口
Router(config-if)# ip access-group access-list-number {in |out}
在接口上取消ACL的應用
Router(config-if)# no ip access-group access-list-number {in |out}

訪問控制列表（一）配置命令及原理